Google ha anunciado la creación de APVI o Android Partner Vulnerability Initiative, una iniciativa para mejorar la seguridad de los móviles Android de terceras partes (es decir, que no sean Google Pixel). Básicamente, esta iniciativa cubre los huecos dejados por otros proyectos simlares como el boletín de seguridad de Android.
AVPI supone una capa extra de seguridad compuesta por vulnerabilidades en móviles Android descubiertas por Google fuera del código de AOSP (pues estas se detallan en los boletines de seguridad). Hasta el momento, AVPI cuenta con unas pocas vulnerabilidades reportadas, de las cuales algunas ya han sido corregidas.
Seguridad más allá de AOSP
Las vulnerabilidades en el código de Android se procesan en el programa Android Security Rewards y las vulnerabilidades en aplicaciones de terceros en el programa Google Play Security Rewards. Google publica las vulnerabilidades del primer tipo en los boletines de seguridad de Android y en AOSP.
El problema radica en que este sistema sólo se aplica al código de AOSP, de modo que Google no tenía un modo estandarizado de informar de problemas de seguridad que sólo se aplican a ciertos fabricantes de Android y no a todos.
Es ahí donde entra AVPI, que en la práctica no es más que un nuevo bug tracker que recopila los problemas de seguridad encontrados por Google en las capas o aplicaciones de distintos fabricantes. A día de hoy, AVPI cuenta con un puñado de informes que se aplican a móviles Huawei, OPPO, Vivo, ZTE, Meizu y otros. Varias de ellas ya han sido corregidas.
Allí será donde Google publique los nuevos problemas y vulnerabilidades de seguridad que encuentren en móviles y aplicaciones de terceros, siempre siguiendo las recomendaciones de divulgación de vulnerabilidades ISO/IEC 29147:2018. Las vulnerabilidades que se aplican a AOSP -y, por tanto, a la mayoría de móviles Android- se seguirán publicando, como siempre, en los boletines de seguridad de Android.
Más información | Google
